Reprise du message précédent :

 
C'est bien naïf tout ça ...
 
Aujourd'hui, tu as un DC virtuel. Une personne ayant accès au stockage des vm prend le vmdk et l'emporte chez lui. C'est ni vu ni connu. Les DC tournent normalement, la vie continue.
Pendant ce temps là, j'ai accès à la base de l'AD en offline (bah oui tu montes ton vmdk sur un autre pc, ton ntds est lisible). A partir de là tu peux faire plein de trucs : J'ai accès à tous les hash des mdp. J'ai mon PC avec des softs pas très légaux, j'utilise les rainbow table pour récupérer les mdp de qq utilisateurs, si possible des admins;
J'ai aussi accès au cache windows des logins qui se sont logués, pareil, je peux récup les infos et faire du pass the hash.
 
 
Pire, je peux faire planter un AD en lui faisant répliquer des données sur les autres dc si je réinjecte le vmdk (bon moins simple mais possible quand même, si j'isole le dc avant de voler et remettre le vmdk modifié)
 
 
Pars du principe que si tu as accès au DC, que ce soit physiquement ou virtuellement, tu as au final possibilité d'avoir tous les droits...

Et ces manips ont déjà été utilisées dans beaucoup de sociétés, et pas la PME du coin ...

sauf que ce que je capte pas c'est qu'il dit que le vmdk est crypté.
Donc comment tu fais pour le modifier O_o (sans le pass)

Il dit ça peut se crypter, oui ça peut, en pratique tu le verras jamais ...
Et en général, qui c'est qui a accès à la clé du chiffrement du vmdk ? ceux qui gère l'esx

Et pourquoi un admin aurait le droit d'accéder aux VMDK au juste ? S'il y a des impératifs de securite, on restreint. Et je peux te faire une machine virtuelle de ton serveur physique tu ne seras me pas. Nous sommes encore dans un soucis de droits d'accès à la données, et non pas de virtualisation. Et un VMDK crypté ça peut se mettre en place, ça lui fera une belle jambe au mec.
 
Pour ta dernière partie sur le DC, nous sommes d'accord, c'est donc bien un problème de droit, donc virtuel ou pas ... Même combat.

Et pour la clé de Cryptage... Si à un moment tu n'as aucune confiance aux admins... Donc à personne en gros, car une société de Presta n'est pas plus de confiance, ça changera rien.
 
Après le cryptage peut se mettre en place et n'a rien d'extraordinaire.
Si vous êtes parano, mettez les moyens en place.

Voler un vmdk c'est facile et invisible, voler un serveur physique ça se voit, faire un p2v d'un serveur ça se voit (si tu le fais online bah tu dois avoir les droits sur le DC donc c'est que t'es déjà domain admin, en offline bah tu dois éteindre le serveur, ça se voit)

Non mais je te parle de cas concrets, de tous les jours. Biensûr que si tu veux protéger tu peux, tu peux y mettre les moyens mais faut juste avoir conscience de tout ça et réfléchir un minimum pour voir toutes les implications qu'ont la virtualisation d'un DC et toutes les failles que ça entraine.

Un AD ça se dump. Et l'accès physique à l'ESX on s'en fout. Tu confonds tout là

Il n'y a aucun rapport avec mes posts

Un mec qui a accès aux Datastore des VMs donc au SAN direct, c'est pas le tech de base logiquement hein. Donc si le mec à autant de droit, tu penses bien qu'il aura aussi les moyens de faire du P2V sans aucun de difficulté.
 
Et la encore ça reste un soucis de DROITS et pas de virtualisation.

En quoi il y a confusion ? Tu me parles d'accéder à des VMDK, ce qui pour toi élimine les VMs. Donc revenez aux serveurs physiques et point.
 
On parle d'un crash d'un DC à la base, et vous partez sur un admin qui a full droit qui tembarque tes serveurs.... Logique

 
Oui, c'est un soucis de droits mais la sécurité c'et TOUJOURS un soucis de droit. La virtualisation amène des menaces que tu n'as pas en monde physique et si tu te contentes de répliquer ce que tu fais dans le monde physique à une infra virtuelle sans prendre en compte ces nouvelles menaces ou en voulant les ignorer c'est courrir des risques inutiles.

 
A la base on débat sur la pertinence de virtualiser ou non tout ou une partie des DC. Et là on te prouve par A + B qui si tu le fais, alors tu acceptes que les admins virtus (qui dans une grande boîte sont une équipe totalement indépendante) ont, de facto, un accès complet et illimité à l'AD, ce qui pose un risque de sécurité majeur. A la DSI ensuite d'assumer ou non ce risque, mais c'est le gros défaut de partir sur de la virtualisation (qui est aussi une solution qui a plein de qualités).

Non mais si les gens veulent faire du virtuel comme du physique, sans le moindre notions de sécurité ... C'est un autre débat clairement. Il y a vraiment rien d'hors du commun à :
 
- Bloquer l'accès aux Datastore pour qu'un seul PC hors réseau et une seule personne puisse accéder à tes VMDK
 
- bloquer l'accès local et à distance à tes ESX
- Interdire la connexion à tes serveur de Backup
Etc....
 
La virtualisation amené comme tout ajout de techno des failles potentielles, mais non rien d'insurmontable ou même coûteux.
 
Et franchement tu as 100 fois plus de chance de te faire pirater ton compte admin via un trojan ou autre, plutôt que l'accès direct au SAN.

Mais Nebulios tu dois le faire exprès je vois pas autrement.
 
Sur ton serveur Physique, tu as bien des mecs qui ont full droits à un moment non ? Forcément oui il en faut au moins 1 ou 2, donc qu'est ce qu'ils empêchent de faire un P2V de ton DC physique ? Bas rien...

Sincèrement, plus le temps passe, plus je me rends compte que tu es quelqu'un de "compétent".

J'ai lu pas mal de page sur cette catégorie du forum et sincérement tu as pas besoin de 36 millions d'infos pour résoudre les problèmes et tu tappes souvent juste.
C'est vraiment dommage a cote de ca que parfois tes réponses manque de "précisions" parce qu'il est clair que t'as pas que 2 ans d'admins et que t'es un expert en la matière.

Je tiens juste à rajouter qu'en lisant ce commentaire la, quand on y réfléchi vraiment et qu'on prend la peine de bien analyser la phrase, c'est tellement vrai.... Le fait que ce soit un fichier est une grosse faille au final, et qu'il faut mettre des moyens en oeuvre pour ne pas que ce soit accessible au premier venu.

J'apprends beaucoup grace a toi merci

PS : Le cote rigolo du post c'est qu'il a ete fait le 15/01 et que la personne sur 2 pages n'a pas repondu une seule fois, donc a defaut de servir au principal interesse ca a construit un debat enrichissant

C'est vrai que le principale intéressé ... Ne l'ai pas vraiment au final lol

Seuls les admins du domaine/forêt ont un accès à des DC physiques

"Seuls les admins du domaine/forêt ont un accès à des DC physiques"
 
Donc pas plus de raison qu'ils aient les mêmes droits sur du virtuel.

Mais de quoi tu parles au juste ? Il n'y a aucune cohérence dans tes posts Tu veux nous dire quoi ?

C'est toi qui n'a pas l'air de comprendre surtout. Tu insistes à fond sur le fait qu'en virtuel tes admins auraient plus de droits que sur du physique, ce qui élimine le choix de full virtualiser les DCs.
 
Moi je t'explique, que ton problème est juste un soucis de DROITS, et en rien de virtualisation. D'ailleurs Jean et les autres ont très bien compris ce que je voulais dire, mais je comprend pas pourquoi tu fais un blocage psychologique sur les droits et non la virtualisation.
 
Que la virtualisation puisse "offrir" de nouvelles failles bien sur, mais c'est comme tout, il faut savoir l'administrer un minimum. D'ailleurs on parle des DCs ....
 
Mais dans ce cas la, tu as un SQL virtuel et la réplique en physique j'espère ? pareil pour ton ERP, logiciel de compte etc... bref ne virtualisez pas ça sera plus simple

 
+1, le post juste au dessus veut rien dire par rapport au reste
 

 
Rien à voir.

Donc pour toi tu dois à tout prix mettre un DC en physique, de peur que tes admins puissent t'embarquer ta VM, alors que ton SQL, ERP tu t'en tape ... ?  
 
 
"+1, le post juste au dessus veut rien dire par rapport au reste "
 
Effectivement, si vous faites exprès de pas comprendre ça n'aide pas. Vous êtes encore sur vos problème de droits d'accès sur vos DCs, je te dis juste que en virtuel ou physique tu as le même soucis, je vois pas ce qu'il y a de dur à comprendre mais bon.

 
On te dis que la sécurité n'est qu'une partie de pourquoi mettre un/des DC physique, tu sembles vouloir tourner autour de ça, vouloir faire dire des choses aux gens qu'ils n'ont jamais dit mais tout va bien, on se demande qui lit bien les posts ici ....
 
Mettre un réplica physique d'un SQL ou d'un ERP non ça n'a pas de sens. Ca va en rien améliorer le système (s'il a bien été sizé mais bon obvious).
Mettre un DC physique, oui ça va améliroer la résilience de l'AD.
 
Quant à la sécurité, ok on te vole ton SQL, ton ERP. Tu as des données à l'extérieur, ok, mais tu as pas toute la base de compte et mdp de tous tes utilisateurs, services qui se balladent et compromettre un AD ça veut dire accéder à toute ton infra, voler un SQL/ERP bah tu as compromis "que" ce service (qui peut valoir cher, je dis pas) mais qui a moins de valeur que voler toute l'infra...

Ce que veux dire Micko77666 c'est qu'autant en virtuel qu'en physique tu as les moyens de protéger ton DC. Il s'agit d'attribuer les bon droits aux bonnes personnes et c'est autant valable physiquement que virtuellement.

" On te dis que la sécurité n'est qu'une partie de pourquoi mettre un/des DC physique, tu sembles vouloir tourner autour de ça, vouloir faire dire des choses aux gens qu'ils n'ont jamais dit mais tout va bien, on se demande qui lit bien les posts ici .... "
 
Je sais que personne ne l'a dit, mais je veux dire par là, que si tu as peur pour ton DC au point de n'en virtualiser que un sur deux, il faut le faire sur l'ensemble de tes serveurs.
 
Je préfère me faire voler mon DC perso, car je pourrai facilement modifier les différents MDP en quelques minutes des users, que mon serveur Exchange et ERP avec les contrats, commandes etc....
 

 
  On parle pas d'en virtualiser qu'un sur 2, on parle d'en laisser 1 physique pour du DR et que si tu es pas foutu de gérer correctement un infra virtuelle ou que tu as un problème de confiance avec ton infogérant tu ferais mieux de ne pas les virtualiser du tout. C'est tout.
 
Ce que j'ai vu dans qq boites, c'est les serveurs de virtualisation (que ce soit de l'ESX, de l'Hyper-V ou autre) dédiés à héberger des DC étaient gérés à part des autres serveurs, et gérés par les admins AD directement, sur du disque local chiffré, vhd chiffré avec le support des équipes serveurs/stockage occasionel pour des problématiques systèmes. Parce que oui, virtualiser apporte plein d'avantages et qu'il serait con de s'en passer mais que "de grands pouvoirs impliquent des grandes responsabilités".
 
 
Pour le vol de DC, je te laisse dire ça à la boite du cac40 qui a déclenché une reconstruction de son AD en urgence un weekend 24/24 avec tout le support Microsoft PFE France lorsqu'ils se sont apperçu que leur AD avait été corrompu depuis plusieurs semaines (mois ?). Si seulement il suffisait de changer les mdp des comptes ...

Sauf que je n'ai pas dis que cela élimine le choix de virtualiser les DC, mais que cela pose des conséquences en terme de sécurité (et donc des choix à faire par la DSI).
Avec des DC physiques, seuls les admins de l'AD ont accès à l'AD. Avec des DC partiellement ou complètement virtuels, les admins AD et les admins virtus ont accès à l'AD. Tu peux compartimenter ton infra de virtu comme tu veux, tu auras toujours des admin root qui auront la mainmise sur toute l'infra.
 
Je pense que tu passes complètement à côté des conséquences d'un dump AD. La solution officielle de MS, dans ce càs-là, c'est de reconstruire un nouvel AD. De éro. Je te laisse imaginer le coût que ça peut entraîner dans une boîte de 50000 personnes (oui j'ai précisément bosser dans un cas similaire).
 
La virtu, c'est une très bonne solution, mais comme toute solution elle a des inconvénients et des avantages, et elle convient mieux à certains scénarios que d'autres, on essaie juste de te faire comprendre ça.

De toute façon il y pas de solution miracle dans tous les cas, tu trouveras toujours une faille à chaque système ou infra.
 
Mais je ne vois pas la pertinence de ne pas full virtualisé.  
 
Pour la confiance de l'infogérant ou équipe, c'est plutôt vous qui imaginer depuis le début le scénario d'un vol d'un DC par un teck.  
 
Pour la société du Cac40, je te laisse aussi dire qu'un mec à toutes les données clients/fournisseurs, facturations, mails du PDG etc... que ça soit un DC ou autre ce n'est pas mieux, mais je préfère mon DC que mon ERP perso.
 

Dans vos explications, ce qui m'échappe c'est cette partie la :  
 
" Avec des DC physiques, seuls les admins de l'AD ont accès à l'AD. Avec des DC partiellement ou complètement virtuels, les admins AD et les admins virtus ont accès à l'AD. Tu peux compartimenter ton infra de virtu comme tu veux, tu auras toujours des admin root qui auront la mainmise sur toute l'infra.  "
 
J'ai beau le prendre dans n'importe quelle sens, je vois pas dans une infra bien géré avec les droits qui vont biens. Ce qui m’empêcherai de le sécurisé comme du physique.

désolé trompé de topic